Linux 基金會對自由和開源軟件(free and open-source software)(FOSS)社區進行的一項新調查表明，貢獻者花在安全問題上的時間不到 3%，而且幾乎沒有增加這一比例的意愿。

[[357456]]

Linux 基金會和哈佛大學創新科學實驗室(Laboratory for Innovation Science at Harvard)(LISH)根據近 1200 名 FOSS 貢獻者的回答所做的一份報告顯示，隨著企業和經濟越來越依賴開源軟件，開發人員“明顯需要”將更多的時間用于 FOSS 項目的安全。

該調查包括了旨在幫助研究人員了解貢獻者如何分配他們在 FOSS 上的時間的問題，該調查顯示，受訪者平均只花了其總貢獻時間的 2.27% 來應對安全問題。

此外，這些問題的回答還表明，許多受訪者對增加安全方面的時間和精力興趣不大。一位受訪者評論說，他們“覺得安全是一件令人心力交瘁的苦差事，是一個最好留給律師和流程狂人的課題”，而另一位受訪者則說：“我發現安全是一個令人難以忍受的、無聊的流程障礙。”

研究人員得出結論，需要對 FOSS 的安全和審計采取一種新的方法，以改善安全實踐，同時控制對貢獻者的負擔。

貢獻者需求最多的一些工具是錯誤和安全修復、免費的安全審計，以及將安全相關工具添加到其持續集成(CI)管道的簡化方法。

“顯然需要為 FOSS 的安全投入更多的精力，但這個負擔不應該只落在貢獻者身上。”報告中寫道。“開發人員一般不想成為安全審計人員，他們希望得到審計結果。”

研究人員提出的其他解決方案包括：鼓勵組織將精力重新投入到識別和解決項目本身的安全問題上。另外，開發人員“可以重寫 FOSS 項目中容易出現漏洞的部分或整個組件”，而不是試圖修補現有代碼。

研究人員繼續說道，“提高重寫安全性的一種方法是將內存不安全的語言(如 C 或 C++)轉換為內存安全的語言(幾乎所有的其它語言)。……這將消除一整類漏洞，如緩沖區溢出和雙重釋放。”

性別多樣性 —— 或者說，缺乏多樣性 —— 是該報告的另一個關鍵發現。

在 1196 名調查對象中，91% 的人報告說是男性，年齡在 25 至 44 歲之間。研究人員指出，這一發現“強調了人們對 FOSS 社區缺乏女性代表的持續關注。”并指出，報告中缺乏女性代表表明，結果“偏向于男性貢獻者的 FOSS 活動，并不能完全代表女性對 FOSS 的貢獻。”

調查的大多數受訪者來自北美或歐洲，大多數人從事全職工作。將近一半(48.7%)的人說，他們在開放源碼貢獻上花費的時間得到了雇主的報酬，而 44.02% 的人說，這是他們唯一得到報酬的途徑。

有趣的是，結果表明，COVID-19 大流行病對貢獻者的工作狀態影響不大，只有極少數受訪者報告說已脫離工作。研究人員再次指出，由于調查中缺乏女性代表，“這些調查結果可能并不能反映為 FOSS 做出貢獻的女性的經歷，特別是那些在大流行期間受到家庭責任增加影響的女性。”

雖然絕大多數受訪者(74.8%)都是全職雇員，超過一半(51.6%)的受訪者是專門為開發 FOSS 而接受報酬的，但在開發者為開源項目做出貢獻的動機中，金錢的得分很低，“渴望得到同行的認可”也是如此。

相反，開發者說他們純粹是對為他們正在開發的開源項目尋找功能、修復和解決方案感興趣。其他最主要的動機包括享受和希望回饋他們所使用的 FOSS 項目。

“現代經濟 —— 無論是數字經濟還是實體經濟 —— 越來越依賴于自由和開源軟件，”哈佛商學院(Harvard Business School)助理教授 Frank Nagle 說。

“了解 FOSS 貢獻者的動機和行為是確保這一關鍵基礎設施未來安全和可持續性的關鍵一環。”